Ένα κρίσιμο κενό ασφαλείας που αποκαλύπτει έναν προκαθορισμένο, στατικό λογαριασμό διαχειριστή στο Cisco Smart Licensing Utility (CSLU) έχει ενεργά αξιοποιηθεί από κακόβουλους παράγοντες, σύμφωνα με πρόσφατες προειδοποιήσεις της Cisco. Παρότι η ευπάθεια (CVE-2024-20439) διορθώθηκε με ενημέρωση τον Σεπτέμβριο του 2024, η επιχείρηση διαπιστώνει πλέον ενεργή εκμετάλλευσή της στο διαδίκτυο.
Τι είναι το CSLU και γιατί είναι ευάλωτο
Το Cisco Smart Licensing Utility είναι μια εφαρμογή Windows που επιτρέπει στους διαχειριστές να διαχειρίζονται άδειες χρήσης τοπικά, χωρίς σύνδεση στο cloud περιβάλλον της Cisco. Το CSLU δεν εκτελείται αυτόματα στο παρασκήνιο· επομένως, η ευπάθεια γίνεται εκμεταλλεύσιμη μόνο όταν η εφαρμογή εκτελείται από τον χρήστη.
Το CVE-2024-20439 περιγράφεται ως «undocumented static user credential for an administrative account» και επιτρέπει σε μη εξουσιοδοτημένους εισβολείς να αποκτούν απομακρυσμένη πρόσβαση μέσω του API της εφαρμογής με διαχειριστικά δικαιώματα. Ο Nicholas Starke, ερευνητής ασφαλείας της Aruba, αποκρυπτογράφησε τον στατικό κωδικό πρόσβασης και δημοσίευσε τεχνικές λεπτομέρειες λίγες εβδομάδες μετά τη διάθεση του patch.
Συνδυασμένη εκμετάλλευση με δεύτερη ευπάθεια
Οι κυβερνοεπιθέσεις φαίνεται να μην περιορίζονται στο αρχικό κενό ασφαλείας. Σύμφωνα με τον Johannes Ullrich από το SANS Technology Institute, οι εισβολείς συνδυάζουν την ευπάθεια CVE-2024-20439 με μία δεύτερη κρίσιμη (CVE-2024-20440), η οποία αφορά διαρροή πληροφοριών. Μέσω crafted HTTP requests, οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση σε log αρχεία που περιέχουν ευαίσθητα δεδομένα, όπως διαπιστευτήρια API.
Η αμερικανική υπηρεσία κυβερνοασφάλειας CISA κατέταξε την CVE-2024-20439 στον κατάλογο των γνωστών υπό εκμετάλλευση ευπαθειών (KEV Catalog), απαιτώντας από τις ομοσπονδιακές υπηρεσίες των ΗΠΑ να θωρακίσουν τα συστήματά τους έως τις 21 Απριλίου 2025.
Ιστορικό στατικών διαπιστευτηρίων στη Cisco
Δεν είναι η πρώτη φορά που η Cisco αντιμετωπίζει ανάλογη κατάσταση. Στο παρελθόν, backdoor credentials είχαν εντοπιστεί σε διάφορα προϊόντα της, όπως τα IOS XE, WAAS, DNA Center και Emergency Responder. Αυτές οι περιπτώσεις αναδεικνύουν μια πιο συστηματική πρόκληση όσον αφορά τον έλεγχο των hardcoded λογαριασμών εντός των λύσεων της εταιρείας.
Επιπτώσεις και συστάσεις
Η ύπαρξη ενός backdoor λογαριασμού με στατικά διαπιστευτήρια συνιστά σημαντικό κίνδυνο, καθώς προσφέρει στους επιτιθέμενους πλήρη έλεγχο του συστήματος χωρίς να απαιτείται προηγούμενη παραβίαση. Η Cisco συνιστά την άμεση αναβάθμιση στην ασφαλή έκδοση της εφαρμογής και προτρέπει τους διαχειριστές να ελέγχουν εάν το CSLU εκτελείται ενεργά στους σταθμούς εργασίας.
Ακόμη, οι διαχειριστές θα πρέπει να παρακολουθούν τα logs για ασυνήθιστη δραστηριότητα και να εφαρμόζουν πολιτικές least privilege σε όλα τα περιβάλλοντα, περιορίζοντας τα σημεία εισόδου για κακόβουλους χρήστες.
Συμπεράσματα
Η υπόθεση του CVE-2024-20439 φέρνει στο φως την ανάγκη για περισσότερη διαφάνεια στις διαδικασίες ανάπτυξης λογισμικού, ειδικά όταν πρόκειται για προϊόντα κρίσιμης σημασίας για την ασφάλεια των επιχειρήσεων. Η εξάλειψη των hardcoded credentials και η ενίσχυση των μηχανισμών ελέγχου ταυτότητας πρέπει να γίνουν προτεραιότητα για κάθε πάροχο τεχνολογίας.
Πηγές: CyberSecurityNews, BleepingComputer
